Miliardi a rischio da malware in app cinese

Pinduoduo, uno dei principali applicativi di shopping online in Cina, ha suscitato preoccupazioni internazionali a causa di accuse di violazioni della privacy e della sicurezza dei dati. L'app, che conta oltre 750 milioni di utenti mensili, è stata sottoposta a un'indagine approfondita da parte di ricercatori di cybersecurity, tra cui team asiatici, europei e americani, nonché ex e dipendenti della società. Secondo le indagini, l'app potrebbe sfruttare vulnerabilità del sistema operativo Android per accedere a informazioni sensibili, come messaggi privati, notifiche e impostazioni degli utenti. Queste pratiche, se confermate, rappresenterebbero un grave abuso della fiducia degli utenti, poiché le aziende di e-commerce sono solite raccogliere dati personali, ma in questo caso si tratterebbe di un accesso non autorizzato a dati altamente sensibili. L'analisi ha rivelato la presenza di malware all'interno dell'app, che potrebbe essere utilizzato per spionaggio su utenti e concorrenti, con l'obiettivo di incrementare le vendite. La scoperta ha suscitato preoccupazioni non solo in Occidente, ma anche in Cina, dove le aziende sono soggette a controlli governativi rigorosi.

La ricerca condotta da CNN ha coinvolto diverse squadre di cybersecurity, tra cui quelle di WithSecure, Check Point Research e Oversecured, che hanno analizzato la versione 6.49.0 dell'app, rilasciata su store cinesi a febbraio. L'indagine ha rivelato che il malware sfrutta vulnerabilità specifiche di Android per ottenere accesso non autorizzato a dispositivi, permettendo agli sviluppatori di monitorare attività di terze parti. Secondo fonti interne, la società avrebbe utilizzato queste tecnologie per raccogliere dati sull'uso degli utenti, creando un profilo dettagliato delle loro abitudini, interessi e preferenze. Questi dati sarebbero stati impiegati per migliorare i modelli di machine learning e personalizzare le notifiche e gli annunci, al fine di aumentare l'engagement degli utenti. Tuttavia, la pratica è stata criticata per il suo carattere intrusivo, poiché permette a un'app di accedere a informazioni che non dovrebbero essere accessibili senza il consenso esplicito dell'utente. La scoperta ha suscitato dibattiti su come le aziende possano equilibrare la personalizzazione dei servizi con il rispetto della privacy.

L'episodio si colloca all'interno di un contesto più ampio di tensioni tra Stati Uniti e Cina riguardo alla sicurezza dei dati. Le aziende cinesi, come TikTok, sono state oggetto di scrutinio per preoccupazioni legate al trasferimento di dati sensibili al governo cinese. Anche se non ci sono prove che Pinduoduo abbia condiviso dati con il governo cinese, esiste un'ipotesi di rischio legato al controllo esercitato da Pechino su aziende operate nel Paese. Questo ha spinto alcuni legislatori americani a chiedere un divieto nazionale di TikTok, con il CEO Shou Chew che ha risposto a un interrogatorio durato cinque ore davanti al Congresso. La situazione si complica ulteriormente con l'espansione di Temu, l'app internazionale di Pinduoduo, che sta guadagnando popolarità in Occidente. Nonostante Temu non sia stata implicata direttamente, le accuse contro Pinduoduo potrebbero danneggiare la sua immagine globale e ostacolare la crescita del brand. La compagnia, quotata al Nasdaq, ha rifiutato le accuse di malizia, ma non ha fornito commenti a CNN.

Le implicazioni di questa vicenda sono significative, soprattutto per il settore tecnologico. La diffusione di malware in un'app di larga diffusione potrebbe compromettere la fiducia degli utenti non solo in Cina, ma anche in altri mercati. La pratica di sfruttare vulnerabilità di sistema operativo per accesso non autorizzato a dati personali è estremamente grave, poiché viola i principi di trasparenza e consenso necessari per la protezione della privacy. La società ha già affrontato sanzioni, come la sospensione da Google Play Store a marzo, dopo la scoperta di malware in versioni non ufficiali dell'app. Inoltre, un'azienda russa ha identificato potenziali minacce nel codice dell'app, aggiungendo ulteriore credibilità alle accuse. La questione solleva preoccupazioni su come le aziende possano gestire il rischio di abusi di dati, specialmente quando operano in Paesi con regolamenti diversi. La risposta di Pinduoduo rimane un mistero, dato che la società ha rifiutato di commentare le richieste di CNN.

La situazione di Pinduoduo rappresenta un caso emblematico del conflitto tra crescita aziendale e responsabilità etica. La società, fondata nel 2015 da Colin Huang, un ex dipendente di Google, ha superato le grandi aziende di e-commerce come Alibaba e JD.com grazie a strategie di sconti su ordini di gruppo e un focus su aree rurali. Tuttavia, la sua espansione ha richiesto un approccio innovativo, incluso la ricerca di vulnerabilità di Android per ottenere vantaggi competitivi. Secondo fonti interne, la squadra che ha sviluppato queste tecniche è stata disposta nel 2020, con l'obiettivo di ridurre i rischi di rilevamento. La strategia era concentrata su utenti di aree rurali, ma non sulle grandi città, per minimizzare il rischio di esposizione. Nonostante il successo, la società ha visto un rallentamento del crescita degli utenti dopo il lancio in borsa nel 2018. La questione sollevata dalle accuse di cybersecurity mette in discussione il modello di business basato su dati sensibili e sfruttamento di vulnerabilità. La risposta ufficiale di Pinduoduo rimane un enigma, ma il caso potrebbe influenzare le normative globali sulla protezione dei dati e il comportamento delle aziende tecnologiche.